收藏
下载资源

07防火墙原理与配置

上传人:aa****6 文档编号:48670072 上传时间:2018-07-19 格式:PPT 页数:66 大小:2.67MB
返回 下载 相关 举报
07防火墙原理与配置_第1页
第1页 / 共66页
07防火墙原理与配置_第2页
第2页 / 共66页
07防火墙原理与配置_第3页
第3页 / 共66页
07防火墙原理与配置_第4页
第4页 / 共66页
07防火墙原理与配置_第5页
第5页 / 共66页
点击查看更多>>
资源描述

《07防火墙原理与配置》由会员分享,可在线阅读,更多相关《07防火墙原理与配置(66页珍藏版)》请在金锄头文库上搜索。

1、防火墙原理与配置四川华迪信息技术有限公司Overviewo 课程介绍 o 一、防火墙基本概念 o 二、防火墙发展历程 o 三、防火墙核心技术 o 四、防火墙体系结构 o 五、防火墙构造体系 o 六、防火墙功能与原理 o 七、防火墙接入方式 o 八、防火墙典型应用 o 九、防火墙性能参数 o 十、防火墙配置Date2Hwadee课程介绍关于本次课程o 课程目标 o 预备知识 o 目标听众 o 日程表 o 词汇表Date4Hwadee课程目标o 了解防火墙的基本概念; o 明确防火墙访问控制机制; o 掌握防火墙配置操作。Date5Hwadee预备知识 o 了解TCP/IP原理; o 了解软件防火

2、墙的使用。Date6Hwadee日程表o 共计: 天 o 详细安排课课程介绍绍防火墙墙原理防火墙墙配置问题问题 装有专用的代理系 统,监控所有协议的数据和指令。 用户可配置参数,安全性和速度大 为提高。包括分组过滤,应用网关,电路级 网关。增加了加密,鉴别,审计, NAT. 透明性好。Date19Hwadee三、防火墙核心技术 简单包过滤防火墙简单包过滤防火墙 状态检测包过滤防火墙状态检测包过滤防火墙 应有代理防火墙应有代理防火墙 包过滤和应有代理复合性防火墙包过滤和应有代理复合性防火墙 核检测防火墙核检测防火墙Date20Hwadee3.13.1 简单包过滤简单包过滤防火墙工作原理 Date

3、21Hwadee3.23.2 状态检测包过滤状态检测包过滤防火墙工作原理 Date22Hwadee3.33.3 应用代理应用代理防火墙工作原理在应用层上进行检查网络层上不检查Date23Hwadee3.4 3.4 复合型复合型防火墙工作原理 Date24Hwadee3.53.5 核检测核检测防火墙工作原理 Date25Hwadee防火墙核心技术比较 Date26Hwadee四、防火墙体系结构 Date27Hwadee基于内核的会话检测技术 Date28Hwadee五、防火墙构造体系o筛选路由器 o多宿主主机 o被屏蔽主机 o被屏蔽子网Date29Hwadee六、防火墙功能与原理 基于访问控制技

4、术基于协议(TCP,UDP,ICMP)基于源IP地址 基于目的IP地址基于源端口基于目的端口基于时间基于用户基于流量基于文件基于网址基于MAC地址Date30Hwadee防止DoS和DDoS攻击oDoS ( Denial of Service ) 拒绝服务攻击 o 攻击者利用系统自身陋洞或者协议陋洞,耗尽可用资源乃至 系统崩溃,而无法对合法用户作出响应。 oDDoS ( Distributed Denial of Service ) o分布式拒绝服务攻击 o 拒绝服务攻击通常是以消耗服务器端资源为目标,通过伪 造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使 正常的用户请求得不到应答,

5、实现攻击目的。 DDoS的表现形式主要有两种,一种是流量攻击,主要是针 对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法的 网络数据包被虚假的网络数据包淹没而无法到达主机;另一种为 资源耗尽攻击,主要是针对服务器主机进行的攻击,即通过大量 的攻击包导致主机的内存被耗尽,或是CPU被内核及应用程序占完 而造成无法提供网络服务。Date31HwadeeDDoS攻击过程Date32Hwadee与MAC地址绑定Date33Hwadee时间策略在访问中配置某条规则起作用的时间。 如配置了时间策略,防火墙在规则匹配时将跳过那些当前时间不在策略时 间段内的规则 注:这个时间段不是允许访问的时间段,而是

6、规则起作用的时间段。Date34HwadeeNAT 网络地址转换隐藏了内部网络结构内部网络可以使用私有IP地址Date35HwadeeNAT原理源地址转换192.168.1.50网关:192.168.1.250192.168.8.50Intranet:192.168.1.250Internet:192.168.8.250报头 数据源地址:192.168.1.50目的地址:192.168.8.50报头 数据源地址:192.168.8.250目的地址:192.168.8.50NAT转换192.168.1.50发送 的数据包经过NAT 转换后,源地址成 为192.168.8.250Date36Hwa

7、deeMAP端口(地址)映射 MAP也称为反向NATDate37Hwadee192.168.1.50网关:192.168.1.250192.168.8.50Intranet:192.168.1.250Internet:192.168.8.250报头 数据源地址:192.168.8.50目的地址:192.168.1.50报头 数据源地址:192.168.8.50目的地址:192.168.8.250MAP映射MAP映射原理目的地址转换192.168.8.50发送 的数据包经过MAP 映射后,目的地址 成为192.168.1.50Date38Hwadee服务器负载均衡负载均衡算法: 顺序选择算法权值

8、 根据PING的时间间隔来选择地址权值 根据CONNET的时间间隔来选择地址权值 根据CONNET来发送请求并得到应答的时间间隔来选择地址权值根据负载均衡算法将 数据重定位到一台 WWW服务器减少单个服务器负载Date39Hwadee防火墙对TRUCK协议的支持 Date40Hwadee支持第三方认证服务器 1、支持第三方RADIUS服务器认证2、支持OTP认证服务器Date41Hwadee与IDS的安全联动IDS:入侵检测系统。是指对入侵行为的发 觉,通过对算机网络系统中的若干关键点收 集信息并对其进行分析,从中发觉网络系统 中是否有违反安全策略的行为或被攻击的迹 像。Date42Hwade

9、e与病毒服务器的安全联动Date43HwadeeSNMP管理Date44Hwadee防火墙的不足之处 1、无法防护内部用户的攻击超过50%的攻击自来内部,防火墙只能防备外部网络的攻击。 2、无法防护基于操作系统漏洞的攻击 3、无法防护端口木马的攻击 4、无法单独防护病毒的侵袭 5、无法防护非法通道的出现 6、无法防护所有新的威协。人们不断发现利用以前可信赖的服务的新的侵袭方法。Date45Hwadee七、防火墙的接入模式透明模式(网络)Date46Hwadee路由模式 路由模式路由模式Date47Hwadee透明及路由的混合模式Date48Hwadee八、防火墙的典型应用应用一Date49Hw

10、adee防火墙的典型应用应用二:Date50Hwadee九、防火墙的性能 衡量防火墙的五大性能指标: 吞吐量:该指标直接影响网络的性能,吞吐量。 时延:入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出所用的时间间隔。 丢包率:在稳定负载下,应由网络设备传输,但由于资源缺乏而被丢弃的帧的百分比。 背靠背:比空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。 并发连接数:指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。Date51Hwadee吞吐量定义:在不丢包的情况下,能够达到的最大速率。衡量标准:吞吐

11、量作为衡量防火墙的重要性能指标之一,吞吐量小就会造成网 络新的瓶颈,以后影响整个网络的性能。Date52Hwadee时 延定义:入口处输入帧最后一个最后一个比特到达至出口处输出帧第一个比特输出 所用的时间间隔。衡量标准:防火墙的时延能够体现它处理数据的速度。Date53Hwadee丢包率定义:在稳定负载下,应由网络设备传输,但由于资源缺乏而被丢弃的帧的百分比。衡量标准:防火墙的丢包率对其稳定性、可靠性有很大影响。Date54Hwadee背靠背定义:比空闲状态开始,以达到传输介质最小合法间隔极限的传输速率发送 相当数量的固定长度的帧,当出现第一个帧丢失时,发送的帧数。衡量标准:背对背包的测试结果

12、能体现出防火的缓冲容量,网络上经常有一 些应用会产生大量的突发数据包(如:路由更新,备份等),而且这样的数 据包的丢失可能会产生更多的数据包,强大缓冲能力可以减少这种突发对网 络造成的影响。Date55Hwadee并发连接数定义:指穿越防火墙的主机之间或主机与防火墙之间能同时建立的连接数。衡量标准:并发连接数的测试主要用来测试被测防火墙建立和维持TCP连接 的性能,同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的 TCP连接的响应能力。Date56Hwadee防火墙过滤机制包过滤示意图源地址 过滤目的 地址 过滤协议 过滤协议 端口 过滤数据包数据包应用层 过滤缺省访问权限(允许/禁

13、止)Date57HwadeeTOPSEC集中管理器以“天融信”防火墙 为例进行配置Date58Hwadee常见服务使用端口Date59Hwadee工具栏的使用工具栏的设置Date60Hwadee选项设置Date61Hwadee防火墙高可用性配置Date62Hwadee防火墙的设置FireWall INTERNETDMZ/SSNINTRANET211.95.180.1 220.181.28.42IP: 192.168.2.50网关:192.168.2.250IP: 192.168.1.50网关:192.168.1.250InternetInternet接入互联网络结构图Date63Hwadee防

14、火墙的设置FireWallInternetDMZ/SSNIntranet192.168.6.250 192.168.2.250192.168.1.250IP: 192.168.2.50/60/70/80网关:192.168.2.250IP: 192.168.1.50/60/70网关:192.168.1.250IP: 192.168.6.50/60网关:192.168.6.250实验连接结构图Date64Hwadee目标一:了解访问策略的原理与作用。通过设置访问策略,测试 INTRANET(企业内联网),SSN(安全服务区,即DMZ区) ,INTERNET(外网)区域之间主机允许访问和禁止访问。目标二:了解NAT原理与作用。测试内网通过NAT方式相互访问。并 通过NAT访问因特网,过滤特定网站和特定网页。目标三:了解MAP原理与作用。测试外网通过MAP访问企业内部服务 器。 操作步骤详见防火墙指导手册防火墙的设置Date65HwadeeQ&Ao 请提问!THANK YOUDate66Hwadee

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号